pr.exe、Churrasco.exe、ms10048.exe用法及提权原理

1.Churrasco.exe是Windows2003系统下的一个本地提权漏洞，通过此工具可以以SYSTEM权限执行命令，从而可以达到添加用户的目的。

使用方法：

Churrasco.exe "net user admin1 admin1 /add && net localgroup administrators admin1 /add"

补丁名：kb952004

2.pr.exe 提权Windows跟踪注册表项的ACL权限提升漏洞

Windows管理规范（WMI）提供程序没有正确地隔离NetworkService或LocalService帐号下运行的进程，同一帐号下运行的两个独立进程可以完全访问对方的文件句柄、注册表项等资源。WMI提供程序主机进程在某些情况下会持有SYSTEM令牌，如果攻击者可以以 NetworkService或LocalService帐号访问计算机，攻击者就可以执行代码探索SYSTEM令牌的WMI提供程序主机进程。一旦找到了SYSTEM令牌，就可以获得SYSTEM权限的提升。

使用方法:

pr.exe “gets.exe $local”

pr.exe “net user admin1 admin1 /add & net localgroup administrators admin /add”





release.exe是release版编译生成的

debug.exe是debug版编译生成的

测试时直接通过wscript.shell调用

debug版的有回显，release的没有回显,两个都发出来个大家测试下

3.ms10048提权

Windows中的win32k.sys内核驱动中的xxxCreateWindowEx函数在处理某些回调参数时存在内核级权限提升漏洞。在正常情况下从用户空间调用CreateWindow时，会执行NtUserCreateWindowEx内核函数，xxxCreateWindowEx位于内核端调用栈上的临近位置。之后的函数会检查回调函数（或钩子）并调用xxxCallHook将注册的回调函数分发到用户空间。

用于将参数传送回创建窗口的进程的机制存在漏洞。这些参数通过栈传送到了用户空间，并在执行了回调函数后被内核重用。如果回调函数将hParent参数重置为类似于0xffffffff或0xfffffffe的伪句柄值，内核就会崩溃。

成功利用这个漏洞的攻击者可以执行任意内核态代码。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

使用方法：

USE MS10048.EXE NET USER XX XX /ADD

USE MS10048.EXE MUMA.EXE

第一个是X64位，第二个是X86